(IslamToday ID) – Kementerian Komunikasi dan Informatika (Kemenkominfo) menyatakan dugaan kebocoran data 279 juta penduduk Indonesia berasal dari BPJS Kesehatan. Hal itu berdasarkan investigasi yang sudah dilakukan kementerian itu sejak Kamis (20/5/2021).
“Kominfo menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan. Hal tersebut didasarkan pada data Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status pembayaran yang identik dengan data BPJS Kesehatan,” kata Juru Bicara Kemenkominfo Dedy Permadi seperti dikutip dari Liputan 6, Jumat (21/5/2021).
Ia menjelaskan data tersebut dijual oleh akun bernama Kotz di Raid Forums. Akun Kotz sendiri merupakan pembeli dan penjual data pribadi atau reseller.
“Kementerian Kominfo telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut,” bebernya.
Dedy mengatakan terdapat tiga tautan yang terindentifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com. Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown. Sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera.
Dedy pun menjelaskan terkait hal tersebut pihaknya telah memanggil pihak BPJS Kesehatan sebagai pengelola data. Sehingga hasilnya nanti akan dilakukan proses investigasi secara lebih lanjut.
“Hari ini Kementerian Kominfo melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam sesuai amanat PP No 71 Tahun 2019,” bebernya.
Ia pun meminta kepada masyarakat agar melaporkan jika mengalami gangguan akibat adanya kebocoran data. Laporan, katanya, bisa ditujukan pertama kepada KemenKominfo dan pihak berwenang.
Hal tersebut sesuai dengan PP No 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik, PSE (Penyelenggara Sistem Elektronik).
“Selain itu, PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, dalam hal diketahui bahwa terjadi kegagalan perlindungan data pribadi,” bebernya.
Bareskrim Polri turun tangan menyelidiki temuan dugaan kebocoran data 279 juta warga yang dijual di forum peretas Raid Forums.
“Sejak isu bergulir saya sudah perintahkan Dirtipidsiber untuk melakukan lidik hal tersebut,” kata Kabareskrim Polri, Komjen Agus Andrianto seperti dikutip dari CNN Indonesia.
Ia mengatakan penyelidikan terhadap perkara itu nantinya akan dilakukan dengan melibatkan sejumlah instansi terkait. Saat ini, katanya, tahap itu tengah dipersiapkan.
Namun demikian, Agus belum dapat menyampaikan lebih lanjut mengenai dugaan perkara tersebut dapat terjadi.
“Sedang dipersiapkan mindik (administrasi penyidikan) untuk legalitas pelaksanaan anggota di lapangan. Saat ini dari Kominfo, Kependudukan dan BPJS sedang mendalami hal kebocoran tersebut,” tambahnya.
Website Pintu Masuk
Pemerhati keamanan siber sekaligus Staf Engagement and Learning Specialist di Engage Media, Yerry Niko Borang mengatakan, pembobolan data semacam ini menggunakan website sebagai pintu untuk menerobos database.
“Ini yang jelas bukan hanya mencuri dari halaman web. Biasanya itu hanya sebagai jalan masuk untuk menerobos database yang tersimpan di dalam server,” ungkap Yerry seperti dikutip dari Kompas, Jumat (21/5/2021).
Menurutnya, website BPJS hanya sebagai pintu masuk saja. Sementara akan masalah mengapa bisa sampai dibobol, perlu evaluasi dan investigasi mendalam. “Kita juga perlu memfungsikan badan siber yang telah dibentuk dan untuk ke depannya perlu ada review menyeluruh atas prosedur pengamanan data warga negara di lembaga-lembaga yang menyimpan data,” kata Yerry.
Faktor yang menyebabkan kebocoran data ini bisa berbagai macam. Yerry mencontohkan, bisa karena masalah dana, peralatan, atau kualitas sumber daya manusia. Maka, meningkatkan pendidikan teknisi website bisa jadi salah satu solusi.
“Itu tadi kembali harus dievaluasi prosedur pengamanan data warga, baik yang diinput online maupun offline,” katanya lagi.
Data-data personal seperti data kesehatan, rekening pembayaran, nama, alamat, nomor KTP dan sebagainya, imbuhnya, berbahaya bila sampai dibobol. Data tersebut bisa diperjualkan untuk berbagai kepentingan. Oknum pembeli data bisa memanfaatkan data pribadi untuk berbagai kejahatan.
“Sementara bagi perusahaan, data semacam ini bisa sangat berguna untuk mengidentifikasi sasaran pasar mereka,” katanya.
Yerry mencontohkan, dari data kesehatan misalnya, dapat diketahui penyakit yang dominan dan obat apa yang paling banyak dikosumsi. Sementara dari data pribadi, bisa mengetahui nama ibu kandung yang berpotensi pembobolan rekening bank.
“Ya keperluannya macam-macam dari soal penyakit apa yang dominan, obat apa yang perlu diproduksi, hingga soal bank apa yang dipakai, nama ibu kandung dan lain-lain,” kata Yerry.
Data itu bisa digabung dengan data lain yang sudah tersebar, untuk kemudian bisa dipakai untuk profiling setiap warga. “Saat dijual di internet, kita hampir tidak bisa memastikan apa yang akan terjadi dengan data-data ini,” tutur Yerry.
Alarm Bagi Indonesia
Anggota Komisi I DPR RI Fraksi PKS Sukamta menyatakan kebocoran data pribadi di internet sudah sangat sering terjadi. Baik itu data pribadi di ranah swasta seperti data di Tokopedia, Bukalapak, Lazada, dst, juga data di instansi publik seperti bocornya data pasien Covid-19, data pemilu di KPU, dan dugaan yang terbaru data BPJS Kesehatan.
“Demikian lemahnya ketahanan siber kita meskipun BPJS selalu maintenance agar keamanan data peserta terjamin kerahasiaannya, ditambah para hacker dan cracker cukup memiliki keahlian yang terus diasah dengan teknologi yang terus di-update. Data BPJS Kesehatan ini sangat besar, 279 juta, termasuk data peserta yang sudah meninggal. Jumlah ini hampir sama dengan jumlah total penduduk Indonesia. Ini alarm bagi Indonesia!” ujar Sukamta seperti dikutip dari Tribunnews, Jumat (21/5/2021).
Wakil Ketua Fraksi PKS ini menambahkan bahwa pemerintah harus segera menginvestigasi kasus ini.
Sehingga menjadi clear apa sumber kebocoran tersebut dan apakah benar website BPJS Kesehatan yang berhasil dibobol atau sistem informasi lain yang diretas.
Menurutnya, langkah-langkah mitigasi harus dilakukan agar data yang sudah terlanjur bocor tadi distop penyebarannya dan dimusnahkan. Pemerintah juga harus memiliki antisipasi efek dari bocornya data ini, apakah setelah ini akan ada “serangan” lain di dunia maya yang bisa mengguncang ketahanan siber kita.
Dan harus ada langkah-langkah ke depannya agar hal seperti ini tidak terjadi lagi. Ini penting untuk digarisbawahi karena sepertinya akan ada lagi kasus-kasus kebocoran data yang lebih parah dari sebelumnya.
“Salah satu langkah yang urgen untuk dilakukan adalah penyelesaian pembahasan RUU Pelindungan Data Pribadi (PDP). Pembahasannya memang sedang stagnan karena ada perbedaan pandangan dalam hal penentuan bentuk otoritas pelindungan data pribadi, apakah lembaga independen atau dikelola oleh Kementerian Kominfo. Pembahasan sangat alot di situ,” kata Sukamta.
“Seharusnya, kasus dugaan bocornya data BPJS Kesehatan ini menjadi tamparan bagi kita semua, bahwa bentuk otoritas yang paling tepat adalah lembaga independen. Bagaimana jadinya jika badan publik yang karena kelalaiannya menyebabkan terjadinya kegagalan pelindungan data pribadi. Aneh rasanya kemudian badan publik menghukum sesama badan publik. Bab ini harus segera ketemu kesepakatannya, agar upaya pelindungan data pribadi bisa segera memiliki payung hukum yang kuat terhadap badan privat, masyarakat, termasuk juga badan publik,” tandasnya. [wip]